Lỗ hổng Zero-Day trong Ivanti VPN bị khai thác để phát tán 5 loại mã độc

0
0

- Trong giai đoạn hậu khai thác của hai lỗ hổng zeroday trên sản phẩm Ivanti Connect Secure (ICS) VPN từ tháng 12/2023, các chuyên gia bảo mật đã phát hiện và xác định rằng nhóm APT UNC5221 đang triển khai không dưới 5 dạng mã độc khác nhau.

Các đoạn mã độc này được sử dụng nhằm phá vỡ lớp xác thực và tạo đường truy cập backdoor đến các thiết bị bị ảnh hưởng.

Chuỗi tấn công của nhóm này sử dụng hai lỗ hổng bảo mật, bao gồm: lỗ hổng bỏ qua xác thực CVE-2023-46805 và lỗ hổng chèn mã CVE-2024-21887, nhằm đạt được quyền kiểm soát đối với thiết bị. Cụ thể, hai lỗ hổng này cho phép nhóm tấn công đạt được quyền truy cập ban đầu, triển khai webshell, cài đặt backdoor trong các tập tin hợp pháp, thu thập thông tin xác thực và dữ liệu cấu hình, cũng như thâm nhập sâu hơn vào môi trường của thiết bị người dùng.

 

Ivanti thông báo rằng chiến dịch tấn công này đã gây ảnh hưởng đến ít hơn 20 người dùng của họ và con số này có thể tăng lên do Ivanti đang sử dụng công cụ kiểm tra tính toàn vẹn để quét các thiết bị và phát hiện dấu hiệu về việc xâm nhập (IoC). Điều này chỉ ra chiến dịch có tính mục tiêu cao và đang trong quá trình đánh giá và xác minh. Bản vá an toàn thông tin cho hai lỗ hổng này được dự kiến sẽ phát hành từ ngày 22/01.

Phân tích chiến dịch tấn công cho thấy có ít nhất 5 loại mã độc khác nhau, được nhóm UNC5221 tích hợp bằng cách chèn vào các tập tin hợp pháp trong ICS và sử dụng các công cụ như BusyBox và PySoxy.

Đối với phần của thiết bị chỉ được phép đọc, nhóm đã sử dụng một script Perl có tên "sessionserver.pl" để làm cho hệ thống tệp có thể đọc/ghi, từ đó triển khai THINSPOOL. Điều này giúp ghi web shell LIGHTWIRE vào Connect Secure và thực thi các công cụ tiếp theo trong chuỗi tấn công.

LIGHTWIRE và WIREFIRE là hai webshell chủ chốt được tạo ra để đảm bảo duy trì kết nối từ xa tới các thiết bị bị ảnh hưởng. LIGHTWIRE được viết bằng ngôn ngữ Perl CGI, trong khi WIREFIRE được lập trình bằng Python.

Ngoài ra, trong chiến dịch của nhóm UNC5221 còn sử dụng mã độc đánh cắp thông tin WARPWIRE (JavaScript) và backdoor bị động ZIPLINE. ZIPLINE có khả năng thực hiện nhiều chức năng như tải lên/tải xuống file, thiết lập reverse shell, tạo máy chủ proxy, và cài đặt máy chủ tunneling để phân phối lưu lượng giữa các điểm cuối. Điều này cho thấy UNC5221 đặt mục tiêu duy trì kết nối với các mục tiêu quan trọng sau khi xâm nhập thành công.

Hiện tại, UNC5221 chưa được gán với bất kỳ nhóm APT hoặc quốc gia cụ thể nào. Tuy nhiên, thông qua phương thức tấn công tập trung vào hạ tầng vùng biên bằng việc sử dụng lỗ hổng zero-day và xâm phạm hạ tầng máy chủ C&C để tránh phát hiện bảo mật, là những đặc điểm rõ ràng của một nhóm APT.

PV


Ý kiến bạn đọc


Lời cảm ơn của gia đình Tổng Bí thư Nguyễn Phú Trọng

Chiều 26/7, ông Nguyễn Trọng Trường, đại diện gia đình Tổng Bí thư Nguyễn Phú Trọng đọc Lời cảm ơn của gia đình Tổng Bí thư tại Lễ Truy điệu.

Bức tâm thư của Phu nhân Tổng Bí thư Lào gửi Phu nhân Tổng Bí thư

(VnMedia) - VnMedia xin đăng tải toàn văn bức tâm thư của Phu nhân Tổng Bí thư Lào Naly Sisoulith gửi Phu nhân Tổng Bí thư Nguyễn Phú Trọng, Ngô Thị Mận.

Nhớ về một người Cộng sản chân chính

(VnMedia)- Mỗi khi nghĩ về Tổng Bí thư Nguyễn Phú Trọng là trong tôi hiện lên hình ảnh một người Cộng sản chân chính. Và, lúc này, tôi lại nhớ đến câu chuyện mẹ tôi vẫn kể trong những năm tháng bà còn sống về cha tôi - một người Cộng sản...

Cảnh báo chiêu trò lừa đảo tuyển người mẫu, cầu thủ nhí trên không gian mạng

(VnMedia) - Bộ Công an vừa phát đi cảnh báo về chiêu trò lừa đảo tuyển mẫu nhí, cầu thủ nhí, người đại diện thương hiệu nhằm chiếm đoạt tài sản qua không gian mạng.

Giá vàng đảo chiều tăng mạnh

(VnMedia) - Chốt phiên giao dịch rạng sáng nay (24/7), giá vàng giao ngay tại thị trường New York đã đảo chiều tăng mạnh hơn 13 USD/ounce. Trong nước, chiều qua, giá vàng miếng SJC vẫn duy trì ở mốc gần 80 triệu đồng/lượng ở chiều bán ra.